autenticação SSH e Active Directory

Question

autenticação SSH e Active Directory

#1 resposta do (4 votos)
#2 resposta do (1 votos)

4

É possível configurar o servidor SSH Linux (e Solaris) para autenticar os usuários desta maneira:

i.e. O usuário john é um membro do grupo Project1_Developers no Active Directory.

temos algo no servidor A (executando o Linux, o servidor tem acesso ao AD via LDAP) na configuração de autenticação LDAP do servidor SSH (ou outro módulo) como root = Project1_Developers, Company_NIX_Admins.

quando john se conecta ao servidor A usando seu nome de usuário "john" e senha de domínio, o servidor verifica o grupo de john no domínio e se o grupo é "Project1_Developers" ou "Company_NIX_Admins", o torna localmente como raiz com um privilégios de root.

A ideia também é ter apenas um usuário "raiz" e um usuário do sistema no servidor, sem incluir o usuário "john" em todos os servidores em que o John possa efetuar login.

Qualquer ajuda ou a idéia de como fazer o acima ou algo semelhante ao acima? Preferido usando AD, mas qualquer outra solução semelhante também é possível.

p.s. por favor não abra uma discussão é seguro fazer login via ssh como root ou não, obrigado :)

ssh ldap active-directory

por disserman 30.12.2010 / 23:36

2 respostas

Tags ssh ldap active-directory

Como quebrar de loop infinito, causado por script PHP em execução como root? Como alterar o diretório de upload temporário nginx / passenger?

score 4 · Answer 1

Essencialmente, você está se referindo à autenticação do Linux PAM via ligações PAM-LDAP com um servidor do Active Directory. Nesse caso, você configuraria a caixa linux para autenticação com o AD via PAM (as bibliotecas centralizadas de "controlador de autenticação").

Dessa forma, John entraria na caixa com seu próprio uid e senha, conforme encontrados no AD.

Além disso, você pode examinar os netgroups ou o Kerberos para determinar se John tem permissão para se conectar a essa caixa específica.

Por fim, como você mencionou especificamente o SSH, você também pode estar interessado em ver as correções de LPK do LDAP, que permitem armazenar os certificados de autenticação do John para SSH no LDAP.

score 1 · Answer 2

Você não precisa (manualmente) adicionar john a todos os servidores. Configure o NSS, o PAM e o sudo para usar o LDAP.